Przestępcy bazują na ludzkich błędach. Tylko 6% firm nie doświadczyło ataku hakerów
Cyberatak na firmę to już zjawisko powszechne. W zeszłym roku jedynie 6% firm nie było celem hakerów, wynika z raportu firmy Radware, specjalizującej się w bezpieczeństwie cybernetycznym. Co więcej, ok. 1/3 firm doświadcza ataków codziennie lub co najmniej raz w tygodniu. Najbardziej niepokojącym faktem jest jednak to, że 22% firm w ogóle nie zdaje sobie sprawy, czy została zaatakowana, czy nie.
Podobnie wygląda sytuacja w Polsce. Regularnie otrzymujemy informacje o próbach naruszenia bezpieczeństwa cybernetycznego od różnych firm. Nie tylko od przedstawicieli branż tradycyjnie mocno zależnych od sprawności systemów IT, u których ewentualny atak może wywołać duże straty materialne, jak sektor finansowy, paliwowy, e-handel czy operatorzy telefoniczni. Problem dotyczy praktycznie wszystkich przedsiębiorstw. Najskuteczniejszym sposobem minimalizacji ryzyka ataku są: przegląd procedur, eliminacja podstawowych czynników ryzyka operacyjnego oraz zakup odpowiednich zabezpieczeń. Przede wszystkim trzeba jednak postawić na szkolenie pracowników, ponieważ o skuteczności większości ataków decydują błędy ludzkie
O tym, że narażony jest każdy, świadczy też fakt, że branżą, która odnotowuje najwyższą częstotliwość codziennych ataków, jest sektor edukacyjny. E-handel i sektor usług finansowych zajmują dopiero kolejne miejsca. Dlatego nie warto bagatelizować problemu i odpowiednio się zabezpieczyć.
Hakerzy chcą zazwyczaj osiągnąć jeden z trzech najczęściej spotykanych celów: wyłudzić pieniądze, zaburzyć działalność ofiary czy wykraść dane. Każdy z nich może spowodować duże starty, ale szczególnie problematyczny jest ostatni z nich. W sytuacji, gdy haker wykradnie dane osobowe, to ofiarą przestaje być wyłącznie firma, ale stają się nimi też jej klienci, pracownicy i partnerzy biznesowi, którzy mogą domagać się odszkodowania od firmy. Dlatego warto zainwestować zarówno w szkolenia pracowników oraz zabezpieczenia, jak i w ubezpieczenie cyber, które jest ostatnią deską ratunku, gdy atak okaże się skuteczny
Jak powinno wyglądać szkolenie z cyberbezpieczeństwa?
Biorąc pod uwagę, jak powszechnym problemem jest działalność hakerów, szkolenia z cyberbezpieczeństwa można porównać do szkoleń BHP. Powinny one być prowadzone w podobny sposób oraz być takim samym standardem jak obowiązkowe szkolenia pracownicze.
Co powinni wiedzieć pracownicy? Muszą zdawać sobie sprawę, jakie ataki mogą się zdarzyć, jak ich unikać i co zrobić, gdy mimo wszystko do nich dojdzie. Szkolenie powinno być jednak proste, bez wchodzenia w szczegóły techniczne. Posługując się wcześniejszym porównaniem – szkolenie BHP opisuje, jak się zachować w razie pożaru, a nie omawia procesów chemicznych i fizycznych z nim związanych. Tak samo szkolenie z bezpieczeństwa cybernetycznego powinno pokazywać szereg podstawowych, prostych, konkretnych zasad, do których należy się stosować. Trzeba też dokładnie omówić procedury działania w razie wykrycia incydentu bezpieczeństwa (znów, tak samo, jak w przypadku BHP, gdzie przeprowadzamy próbne ewakuacje z budynku).
Niezależnie od rodzaju i poziomu skomplikowania systemów bezpieczeństwa, istnieje kilka podstawowych zasad, do których należy się stosować. Przede wszystkim, nieważne jak uciążliwe jest stosowanie złożonych haseł, maszyn wirtualnych czy metod podwójnego logowania i weryfikacji, to nie wolno ich omijać. Na to właśnie czekają hakerzy. Tak samo istotna jest dokładna weryfikacja otrzymywanych wiadomości, linków czy tożsamości osób, z którymi się kontaktujemy
